Hinweise zum Umgang mit dem Locky-Virus Auf dem Rechner einer Sekretärin war ein Locky-Virus. Uns ist es gelungen, alle wichtigen Daten wiederherzustellen. Bei dieser „Arbeit“ haben wir folgende Erkenntnisse gewonnen: 1. Anti-Virensoftware Die Rescue-CD’s von Kaspersky und Avira haben einen Befall vermeldet. Mit zwei Tage alter Virensignatur hat McAfee keine Infektion vermeldet. Da wir zur Aktualisierung der Virensignaturen eine Verbindung ins Netzwerk unter Windows hätten herstellen müssen, haben wir darauf verzichtet, die Signatur zu aktualisieren. 2. Wo haben wir Locky überall gefunden? Locky schreibt sich in den Autostart. Außerdem ist er in folgendem Verzeichnis zu finden: C:\Benutzer\<Benutzername>\AppData\Local\Temp. 3. Welche Dateien wurden verschlüsselt? • Locky verschlüsselt alle gängigen Dateitypen. • Auch die Dateien angeschlossener Datenträger werden rigoros verschlüsselt. Das betrifft auch Backups, die durch einfaches Kopieren gewonnen wurden. Deshalb sollte überlegt werden, ob die Datenträger nur zur manuellen Erstellung des Backups an den PC angehangen werden. 4. Welche Dateien wurden nicht verschlüsselt? • • • Die Dateien/Ordner im Verzeichnis C:\Benutzer\<Benutzername>\AppData\Local\Temp wurden nicht verschlüsselt. Vielleicht hat man Glück und findet hier noch etwas Brauchbares. Die Schule hatte beim Speichern ihrer Excel-Tabellen mit den Schülerdaten einen Haken bei Sicherungskopie. Excel: Speichern unter … Tools Allgemeine Optionen… Haken bei Sicherungsdatei erstellen Dadurch wird bei jedem Speichern sowohl die Excel-Datei als auch eine Sicherungskopie erstellt. Diese hatte (mit Office 2003) die Endung.xlk. Diese Sicherungskopien waren nicht verschlüsselt. Außerdem hat das SenBJW-Image für die Verwaltungsrechner den Computerschutz angestellt. Die Einstellung kann man mit Administratorrechten überprüfen: rechter Mausklick auf Computer Eigenschaften Computerschutz Computerschutz Hier kann man sehen, ob der Computerschutz eingeschaltet ist. Der für die Sicherung vorgesehene Speicherplatz ist über Konfigurieren… sichtbar. Offensichtlich kommt man an diese Sicherungen nur als Administrator heran. Da die Sekretärin nur eingeschränkte Rechte hatte, hatte auch Locky hier keine Chance. Wie kommt man an diese Sicherungsdateien heran? Über den Windows-Explorer mit Rechtsklick auf das Laufwerk C:. Dann Eigenschaften Vorgängerversionen eine Vorgängerversion (jüngste?) anklicken Kopieren wählen und dann auf eine externe Festplatte kopieren. Zum Glück war hier eine Sicherung aus jüngster Vergangenheit, die unverschlüsselt war. Eine Kontrolle ergab, dass diese Sicherungsdateien virenfrei waren. Wir haben einen neuen Rechner für die Sekretärin aufgesetzt und dann die relevanten Dateien aus der Sicherung auf diesen Rechner kopiert. Ob man diese Sicherungen auch nutzen kann, um den PC als Ganzes wieder herzustellen, weiß ich nicht. Auf den ersten Blick würden wir davon abraten.